Вопросы Теги

Запретите глобальный анонимный, связывают с cn=config

nayrmil имеет некоторые хорошие предложения. Другая опция состояла бы в том, чтобы ограничить, какие машины могут выполнить интерактивные задания. Мы в основном определяем некоторые узлы как "интерактивные" и помещаем очередь на них, которая превышает намеченную сумму ресурсов узла, столько пользователей может войти в систему сразу. Пользователи могут в основном расположиться лагерем там, пока они хотят, но если они хотят получить доступ к некоторым реальным ресурсам, они должны отправить надлежащее задание.

9
задан 29 October 2011 в 13:05
3 ответа

Не то чтобы списки контроля доступа квантов - это плохо, но отвечу на ваш вопрос:

ldapmodify
dn: cn = config
changetype: изменить
добавить: olcDisallows
olcDisallows: bind_anon
-

dn: olcDatabase = {- 1} интерфейс, cn = config
changetype: изменить
добавить: olcRequires
olcRequires: authc

Имейте в виду, что ldapmodify чувствителен к (завершающим) пробелам, поэтому прямая копипаста не будет работать (и может не аутентифицировать вас должным образом). Кроме того, для используемого вами DNS потребуется доступ для записи в базу данных cn = config.

5
ответ дан 2 December 2019 в 22:25

I've not tested but try something like this:

dn: olcDatabase={1}hdb,cn=config
add: olcAccess
olcAccess: to attrs=userPassword 
    by dn="cn=admin,dc=example,dc=com" write 
    by self write 
    by * none
olcAccess: to dn.base="" 
    by users read 
    by * none
olcAccess: to * 
    by dn="cn=admin,dc=example,dc=com" write 
    by * none
1
ответ дан 2 December 2019 в 22:25

Вариант на ту же тему, пробовал, работает: Советы по безопасности LDAP на SysadminTalk

Резюме:

1) Создайте файл, назовем его disable_anon_frontend.ldif со следующим содержанием: 

dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc

2) Создайте еще один файл с именем disable_anon_backend.ldif со следующим содержанием: 

dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc

3) Затем на сервере измените LDAP, введя следующие команды: 

sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif

4) Проверьте, выполнив следующий анонимный запрос: ldapsearch -x -LLL -H ldap: /// -b dc = example, dc = domain, dc = com dn (используйте ваши настройки dc = ... , если применимо).

Если вы см. сообщение об ошибке ниже, значит анонимный доступ был успешно отключен: 

Server is unwilling to perform (53)
Additional information: authentication required

Удачи!

11
ответ дан 2 December 2019 в 22:25

Теги

Похожие вопросы